Un effort coordonné d’application de la loi nommé Opération Chasse au Canard a abattu QakBot, une famille de logiciels malveillants Windows notoire qui aurait compromis plus de 700 000 ordinateurs dans le monde et facilité la fraude financière ainsi que les ransomwares.
À cette fin, le ministère américain de la Justice (DoJ) dit le malware est « supprimé des ordinateurs des victimes, l’empêchant de faire davantage de mal », ajoutant qu’il a saisi plus de 8,6 millions de dollars de cryptomonnaies provenant de profits illicites.
L’exercice transfrontalier a impliqué la participation de la France, de l’Allemagne, de la Lettonie, de la Roumanie, des Pays-Bas, du Royaume-Uni et des États-Unis, ainsi que de l’assistance technique de la société de cybersécurité Zscaler.
Le démantèlement a été salué comme « la plus grande perturbation financière et technique menée par les États-Unis d’une infrastructure de botnet exploitée par les cybercriminels ». Aucune arrestation n’a été annoncée.
QakBot, également connu sous les noms de QBot et Pinkslipbot, a commencé sa vie en tant que cheval de Troie bancaire en 2007 avant de se transformer en un couteau suisse à usage général qui agit comme un centre de distribution de codes malveillants sur les machines infectées, y compris des ransomwares, à l’insu des victimes.
Certains grandes familles de ransomwares propagés via QakBot comprennent Conti, ProLock, Egregor, REvil, MegaCortex et Black Basta. Les administrateurs de QakBot auraient perçu des frais correspondant à environ 58 millions de dollars de rançons versées par les victimes entre octobre 2021 et avril 2023.
« QakBot a joué un rôle clé au sein de l’écosystème de la cybercriminalité, facilitant les attaques de ransomwares et d’autres menaces graves », a déclaré Will Lyne, responsable du cyber-renseignement à la National Crime Agency (NCA) du Royaume-Uni. dit dans un rapport.
La contre-offensive contre QakBot fait suite à un retrait similaire d’Emotet en octobre 2020, qui a depuis refait surface suite à une perturbation majeure de son infrastructure backend.
Généralement distribués via des e-mails de phishing, les logiciels malveillants modulaires sont également dotés de capacités d’exécution de commandes et de collecte d’informations. Il a connu des mises à jour constantes au cours de sa vie, les acteurs (nom de code Gold Lagoon ou Mallard Spider) étant connus pour prendre des pauses prolongées chaque été avant de reprendre leurs campagnes de spam.
« Les ordinateurs victimes infectés par le malware QakBot font partie d’un botnet (un réseau d’ordinateurs compromis), ce qui signifie que les auteurs peuvent contrôler à distance tous les ordinateurs infectés de manière coordonnée », a indiqué le ministère de la Justice.
L’effort conjoint, selon des documents judiciaires, a permis d’accéder à l’infrastructure de QakBot, permettant ainsi de rediriger le trafic du botnet vers et via des serveurs contrôlés par le Federal Bureau of Investigation (FBI) des États-Unis dans le but ultime de neutraliser le « vaste réseau de zombies ». chaîne d’approvisionnement criminelle.
Plus précisément, les serveurs ont demandé aux points finaux compromis de télécharger un fichier de désinstallation qui est conçu pour détacher les machines du botnet QakBot, empêchant ainsi la livraison de charges utiles supplémentaires.
Unité de lutte contre les menaces Secureworks (CTU) dit il a détecté le botnet distribuant un shellcode aux appareils infectés le 25 août 2023, qui « décompresse un exécutable DLL (bibliothèque de liens dynamiques) personnalisé qui contient du code qui peut mettre fin proprement au processus QakBot en cours d’exécution sur l’hôte » au moyen d’une commande QPCMD_BOT_SHUTDOWN.
« Les victimes [in the U.S.] » Cela allait des institutions financières de la côte Est à un entrepreneur gouvernemental d’infrastructures critiques dans le Midwest en passant par un fabricant de dispositifs médicaux sur la côte Ouest », a déclaré le directeur du FBI, Christopher Wray. dit.
QakBot a démontré un niveau de complexité plus élevé au fil du temps, modifiant rapidement ses tactiques en réponse aux nouveaux garde-fous de sécurité. Par exemple, après que Microsoft ait désactivé les macros par défaut dans toutes les applications Office, Microsoft a commencé à abuser des fichiers OneNote en tant que support. vecteur d’infection plus tôt cette année.
La sophistication et l’adaptabilité sont également évidentes dans la capacité des opérateurs à utiliser un large éventail de formats de fichiers (par exemple, PDF, HTML et ZIP) dans leurs chaînes d’attaque. La majorité des serveurs de commande et de contrôle (C2) de QakBot sont concentrés aux États-Unis, au Royaume-Uni, en Inde, au Canada et en France (FR). Son infrastructure backend est située en Russie.
QakBot, comme Emotet et IcedID, utilise un système de serveurs à trois niveaux pour contrôler et communiquer avec les logiciels malveillants installés sur les ordinateurs infectés. L’objectif principal des serveurs de niveau 1 et 2 est de transmettre les communications contenant des données cryptées entre les ordinateurs infectés par QakBot et le serveur de niveau 3 qui contrôle le botnet.
« QakBot est un cheval de Troie bancaire malveillant très sophistiqué, ciblant stratégiquement les entreprises de différents pays », ont déclaré les chercheurs de Zscaler. noté dans une analyse exhaustive publiée fin juillet 2023.
« Cette menace insaisissable utilise plusieurs formats de fichiers et méthodes d’obscurcissement au sein de sa chaîne d’attaque, lui permettant d’échapper à la détection des moteurs antivirus conventionnels. Grâce à son expérimentation avec diverses chaînes d’attaque, il devient évident que l’acteur malveillant derrière QakBot affine continuellement ses stratégies.
QakBot a également été l’une des familles de logiciels malveillants les plus actives au deuxième trimestre 2023, selon Sécurité HP Wolfexploitant jusqu’à 18 chaînes d’attaque uniques et 56 campagnes au cours de cette période, soulignant le penchant du groupe de cybercriminalité à « permuter rapidement son savoir-faire pour exploiter les lacunes des défenses des réseaux ».